Comment sécuriser un blog
Je reçois souvent des demandes d’aide concernant le piratage d’un blog. Par blog je parlerai ici des blogs gratuits hébergés sous la forme d’un sous-domaine du type : http://monnom.siteblog.com
Par exemple skyrock, overblog, canalblog, wordpress et j’en passe.
Récemment, on m’a demandé comment sécuriser son blog suite à des menaces de piratage.
Nous allons d’abord voir comment il est possible de se faire hacker son blog, puis nous détaillerons les étapes indispensables à suivre pour continuer à bloguer de façon sécurisée.
Cet article vise les débutants en particulier, même si tout le monde peut bien entendu y trouver des informations utiles.
Pourquoi peut-on se faire pirater son blog
Pour vous connecter à votre panneau d’administration et donc gérer votre propre blog, vous devez généralement fournir un identifiant et un mot de passe.
L’identifiant est souvent facile à trouver, ou même à deviner si il s’agit du même nom que celui du blog.
Premier point : ne pas utiliser d’identifiant évident.
C’est à dire changer (si possible ?) l’identifiant par défaut.
Et éviter tout identifiant facilement trouvable :
- Nom de famille
- Mot connu sur Internet
- etc
Deuxième point : faire attention au mot de passe !
Le mot de passe est une donnée qui est généralement gardée privée par tout utilisateur (je l’espère).
Seulement il y a un problème.
L’utilisateur normal a bien conscience que son mot de passe ne doit pas être donné à qui que ce soit. Il sait bien que son mot de passe doit être suffisamment compliqué pour ne pas être deviné.
Il sait aussi qu’il est préférable, et à vrai dire hautement recommandé d’utiliser un mot de passe différent pour chaque service.
Mais, cet utilisateur donne pourtant son mot de passe à chaque connexion à son blog. Il le donne pour se connecter et il n’a pas vraiment le choix.
Le mot de passe est donc tapé au clavier, envoyé via le réseau au serveur, comparé avec celui de la base de donnée puis la connexion est acceptée si le mot de passe est le bon.
Entre temps, il a pu se passer beaucoup de choses.
Un programme donné peut très bien récupérer les données tapées au clavier, en clair. Un autre programme donné peut très bien capturer le mot de passe envoyé sur le réseau lorsque la connexion n’est pas chiffrée (HTTPS).
Plus d’informations à ce sujet :
6 techniques populaires permettant de trouver un mot de passe
Pire encore, ce sont les mots de passe de votre blog, de votre compte Facebook, de votre compte mail et j’en passe qui sont aussi récupérés.
Les logiciels espions ne contiennent simplement pas d’interfaces et se lancent souvent au démarrage de l’ordinateur. Une fois lancés, ils récupèrent tout ce qui est tapé sur un clavier, peu importe le site visité, peu importe les programmes exécutés et ce continuellement (sauf si il est repéré par un antivirus).
Comment sécuriser son blog
Je n’ai pas besoin de le répéter, le mot de passe est une donnée sensible à ne jamais divulguer. Et à le rendre le plus difficile possible à deviner.
Voici des conseils divers sur les mots de passe :
- Pourquoi Gbt3fC79ZmMEFUFJ est un MAUVAIS mot de passe
- Violations de données et mots de passe compromis
- Comment savoir si votre mot de passe a été récupéré par des pirates
- Taper ses mots de passe en toute sécurité et Comment créer vos mots de passe de la meilleure des façons
- Un gestionnaire de mots de passe pour ne plus rien oublier !
- La sécurité des mots de passe
Il faut maintenant veiller à ne pas le divulguer involontairement, et nous allons tout de suite voir comment.
Vérifier les processus actifs sur l’ordinateur
Cette partie est très importante pour vous assurer que votre ordinateur ne soit pas infecté.
Garder donc toujours un antivirus à jour, faites un scan du système si vous avez un doute.
Certains programmes peuvent cependant contourner les antivirus. Observez donc les processus actifs en ouvrant le Gestionnaire des tâches de Windows : CTRL + SHIFT + ECHAP, puis sélectionnez l’onglet Processus.
Si vous n’y connaissez rien vous pouvez faire un scan via Process Explorer de Sysinternals.
Vous pouvez aussi vous rendre sur ce lien dans lequel je détaille la démarche d’analyse manuelle d’un PC, ou encore celui-ci.
Rester vigilant(e)
Prenez soin de vous informer sur la sécurité informatique, n’hésitez pas à poser vos questions.
Ne vous connectez pas à votre blog un peu n’importe ou, dans les cybercafés etc…
Créez éventuellement une nouvelle adresse mail avant de créer votre blog, et changez régulièrement de mot de passe. Utilisez aussi les services du type adresse de secours et question secrète.
Choisissez un prestataire de confiance… Difficile à changer lorsqu’on a déjà un blog, je sais. Mais si le site hébergeant votre contenu se fait pirater… on l’a « dans l’os ». Plus d’informations : Comment savoir si votre e-mail ou mot de passe a pu être récupéré par des pirates
Questions et réponses :
Peut-on hacker mon blog si on a mon adresse IP ?
Non.
Peut-on hacker mon blog avec un programme qui devine mon mot de passe ?
Normalement pas, au bout de quelques tentatives infructueuses, l’accès devrait être refusé pour cause d’erreurs de connexion trop nombreuses. De plus si votre mot de passe est assez compliqué, cela prendrait des années à le deviner.
Peut-on hacker mon blog en m’envoyant un programme par e-mail ou dans une conversation ?
Oui, un logiciel espion peut très bien être envoyé sous forme de pièce-jointe.
Peut-on hacker mon blog avec une clé USB ?
Oui, si elle exécute un logiciel espion qui récupérera ultérieurement vos identifiants…
Peut-on hacker mon blog depuis mon smartphone ?
Oui. De la même façon que présentée dans les autres réponses.
Peut-on hacker mon blog si je télécharge un fichier .txt ou .pdf ?
« Normalement » pas, car habituellement seul un programme exécutable du type .exe est dangereux. Mais notre .exe peut être caché sous une autre icône, voire une autre extension ! Et les fichiers .pdf sont un peu plus spécifiques car ils pourraient être infectés et exploiter une faille… Donc la vraie réponse c’est que dans 99% des cas : non (mais le slogan du site nous indique que ce qui est sécurisé à 99% n’est pas sécurisé, alors je partirais dessus ! :D)
Y a t-il un nom de fichier spécifique pour un programme malveillant ?
Non, le but du hacker et justement de vous faire exécuter le programme de toutes les manières possibles, le logiciel espion peut donc très bien s’appeler Avast.exe et avoir l’icône de Avast! Je vous en fais la démonstration ici : File Pumper : Télécharger un virus de 700Mo ? Et comment s’en protéger